개인정보보호위원회는 개인정보 보호 법규를 위반한 글로벌 경매사 크리스티스에 과징금 2억8000만원과 과태료 720만원을 부과하고, 처분 사실 공표를 명령했다고 9일 밝혔다.
크리스티스는 헬프데스크 직원이 보이스피싱에 속아 해커에게 시스템 접근 권한을 부여하면서 한국 회원 620명의 개인정보를 유출했다. 유출 정보에는 성명, 주소와 함께 주민등록번호, 여권번호 등 고유식별정보가 포함됐다.
문제는 인증 절차였다. 비밀번호 재발급 과정에서 문자나 이메일 등 추가 인증 없이 입사일, 부서 등 단순 정보만으로 확인이 이뤄졌다. 해킹 당시에는 이마저 생략된 채 계정 정보가 변경된 것으로 확인됐다.
또 주민등록번호, 여권번호 등의 민감정보를 암호화하지 않고 저장했으며, 법적 근거 없이 한국인 회원의 주민등록번호를 수집·보관한 사실도 드러났다. 유출 인지 후 72시간을 넘겨 신고·통지한 점도 위반으로 판단됐다.
박진형 기자 jin@etnews.com
